@邮件域名体检

Gmail · SMTP 4.7.32 / 5.7.32

Gmail 4.7.32 / 5.7.32:From 未与 SPF 或 DKIM 对齐

邮件可能已经通过 SPF 或 DKIM,但通过认证的域没有与可见 From: 的 Author Domain 对齐。至少一条已通过的身份必须满足 DMARC alignment。

把三种身份分开

  • Author Domain:收件人看到的 RFC5322 From: 域,也是 DMARC policy discovery 的起点。
  • SPF 域:通过 SPF 的 MAIL FROM 或空 MAIL FROM 时的 HELO 身份,不一定等于可见 From。
  • DKIM 域:通过验证的 DKIM-Signature 中的 d= 值。

DMARC 需要 SPF 或 DKIM 至少一条既通过认证又与 Author Domain 对齐。默认 relaxed 模式允许同一组织域下的子域对齐;若 DMARC 使用 aspf=sadkim=s,则相应身份必须严格匹配。

“SPF=pass”或“DKIM=pass”本身不等于 DMARC 对齐。必须同时比较通过认证的域与可见 From 域。

从真实邮件证据定位

  1. 保存完整退信。对于同一路径曾成功接收的样本,打开原始邮件头中的 Authentication-ResultsReturn-PathDKIM-Signature
  2. 记录可见 From 域、SPF 认证域及结果、每条 DKIM 的 d= 及结果。
  3. 若 SPF 通过但不对齐,为邮件平台配置属于你的自定义 MAIL FROM、bounce 或 return-path 域。
  4. 若 DKIM 通过但不对齐,为平台配置属于你的自定义 DKIM 签名域并发布平台给出的 selector。
  5. 重新发送新邮件,确认至少一条路径同时显示 pass 与 aligned。

常见误修

只新增 DMARC 记录不会让第三方平台自动使用你的域签名;只把平台 include 加进 SPF,也不保证 MAIL FROM 与 From 对齐。转发还可能破坏 SPF,因此可保持有效的 DKIM 签名通常更可靠,但仍必须核对实际消息。

若 Author Domain 是子域,DMARC policy discovery 可能应用该子域的直接记录或 RFC 9989 Tree Walk 找到的上级策略。策略来源与身份是否对齐是两个问题,不能混为一谈。

不要把可见 From 临时改成邮件服务商域来掩盖配置问题,也不要复制服务商以外的 DKIM 公钥。应使用平台正式提供的自定义域功能,让合法业务身份保持可识别和可控。

工具边界

域名体检可以发现 SPF、DMARC 和指定 selector 的 DKIM 公钥问题,并按 RFC 9989 查找可应用策略;仅凭域名无法知道某封邮件实际使用了哪个 MAIL FROM、哪个 d=,或认证是否通过。因此最终结论必须来自真实邮件头或发送平台日志。

官方来源